关于各类防火墙的介绍(3)

　　PIX的日志和监视功能也比其他产品逊色不少，它没有实时日志功能，而且所有的日志信息都要送到另外一台运行syslog的机器上去。不管怎样，根据系统日志发出警报还是可以做到的。

　　还是那句话，若是你可以容忍PIX的种种缺点，只是看中了它的速度，那么你不妨试试。

　　2. Check Point Firewall-1

　　Check Point Firewall-1是以色列的Check Point公司出品的硬件防火墙，是市场上老资格的软件防火墙产品。

　　Check Point Firewall-1可以基于Unix、WinNT、Win2K等系统平台上工作，属状态检测型，综合性能比较优秀。兼容的平台较多是它的优点，但兼容性广泛也导致该产品的某种平台上没有深入集成优势，“泛而不精”。例如：但是Check Point Firewall-1防火墙与Win2K的系统集成性就比较差。

　　先说该产品优点：1).尽管是状态检测型防火墙，但它可以进行基于内容的安全检查，如对URL进行控制；对某些应用，它甚至可以限制可使用的命令，如FTP。

　　2). 它不仅可以基于地址、应用设置过滤规则，而且还提供了多种用户认证机制，如User Authentication、Client Authentication和Session Authentication，安全控制方式比较灵活。

　　3) Check Point Firewall-1是一个开放的安全系统，提供了API，用户可以根据需要配置安全检查模块，如病毒检查模块。

　　4). Check Point Firewall-1采用的是状态检测方式，因而处理性能也较高，对于10BaseT接口，基本达到线速（号称可达80Mbps）。

　　5). Check Point Firewall-1是集中管理模式，即用户可以通过GUI同防火墙管理模块（Check Point Firewall Management Module）通信，维护安全规则；而防火墙管理模块则负责编译安全规则，并下载到各个防火墙模块中, 管理线条比较清晰。

　　主要缺点有：1）.Check Point Firewall-1的处理性能过分的依赖硬件平台的配置，主要是硬件平台的内存和CPU的处理速度。当客户需求达到企业级时，无法为客户提供集群或是阵列服务，无法更进一步提高并发性能。

　　2) Check Point Firewall-1管理界面的功能较多，但功能模块分散，功能模块丰富而使用不便。在复杂的操作流程下，通过Check Point Firewall-1管理界面，来修改安全规则等，很容易疏漏，难以相互照应。